2022. május legveszélyesebb kártékony programjai
2022. június 15.
A Check Point Software Technologies Ltd. kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 májusára vonatkozó Global Threat Index elemzését. Továbbra is a fejlett, önmagát hirdető, moduláris trójai, az Emotet maradt a leggyakrabban előforduló kártékony program, ami a hozzá köthető, széles körben terjedő kampányoknak az eredménye. Ugyanakkor a listán hosszú ideje nem szereplő Snake Keylogger a nyolcadik helyen bukkant fel. A Snake elsősorban a billentyűleütéseket rögzíti és az összegyűjtött adatokat a fenyegetéseket indítók felé továbbítja.
A Snake Keylogger általában kártékony makrókkal ellátott docx vagy xlsx csatolmányokat tartalmazó e-mailekkel terjed, azonban ebben a hónapban a kutatók arról számoltak be, hogy PDF file-okkal terjedt. Ennek az oka az lehet, hogy a Microsoft blokkolta az Office-ban az internet makrók alapbeállításait, így a cyber-bűnözőknek kreatívabbnak kellett lenniük és olyan új file-típusokkal kezdtek kísérletezni, mint a PDF. A kártékony programok terjesztésének ez az új módja rendkívül hatékonynak bizonyult, tekintve, hogy az emberek azt gondolják, a PDF file-ok eleve biztonságosabbak, mint más file típusok.
Az Emotet világszerte a szervezetek 8%-nál jelent meg, ami kis növekedés az előző hónaphoz képest. Ez egy igen rugalmas kártékony program, mivel képes megakadályozni, hogy észrevegyék. De amiatt is nehéz eltávolítani a fertőzött eszközről, mert rendkívül kitartó, így a cyber-bűnözők arzenáljának tökéletes darabja. Eredetileg banki trójaiként jelent meg, gyakran terjed adathalász e-mailekkel és képes más kártékony programoknak utat adni, ezzel növelve a széleskörű kár okozásának lehetőségét.
„Amint azt az utóbbi időszakban felbukkant Snake Keylogger kampányok ékesen bizonyítják, bármit tesz online az ember, kiszolgáltatottá válik, ami alól a PDF dokumentumok megnyitása sem kivétel,” – mondta Maya Horowitz, a Check Point kutatásért felelős elnök-helyettese. „A vírusok és a kártékony exe kódok be tudnak jutni a multimédia tartalmakba és linkekbe is, és előkészítik a kártékony programok, ez esetben a Snake Keylogger támadását, ami meg is történik, ahogy a felhasználó megnyit egy PDF file-t. Ezért, éppen úgy, ahogy megkérdőjelezzük egy docx vagy egy xlsx file legitimitását, hasonló óvatosággal kell eljárni a PDF-ek esetében is. Soha nem volt ilyen fontos, hogy a szervezetek robusztus e-mail biztonsági megoldásokat használjanak, melyek karanténba helyezik és megvizsgálják a csatolmányokat, ezzel már első körben megakadályozva a kártékony file-oknak a hálózatba való bejutását.”
A CPR ebben a hónapban arra is felhívta a figyelmet, hogy a „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 46%-ánál jelent meg, szorosan követte az „Apache Log4j Remote Code Execution”, mely ugyancsak a szervezetek 46%-ánál bukkant fel. Harmadik helyre került a „Web Server Exposed Git Repository Information Disclosure”, globális hatása 45%. Világszerte a legtöbb támadás továbbra is az oktatási-kutatási szektor ellen történt.
2022. május top három kártékony programcsaládja:
*A nyilak a helyezés előző hónaphoz képest történt változását jelzik.
A hónap során az Emotet tartotta magát az élen, világszerte a szervezetek 8%-ánál volt jelen, ezt követte a Formbook, mely a szervezetek 2%-ánál, a harmadik helyen álló Agent Tesla szintén a 2%-ánál jelent meg.
1.↔ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.
2.↔ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.
3.↔ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és Microsoft Outlook) érkező személyi adatokat.
A világszerte legtöbb támadást elszenvedő iparágak:
1. Oktatás/kutatás
2. Kormányzat/hadsereg
3. ISP/MSP
2022. május top három sérülékenysége:
Ebben a hónapban a „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 46%-ánál jelent meg; az „ Apache Log4j Remote Code Execution” ugyancsak a szervezetek 46%-ánál bukkant fel. Harmadik helyre került a „Web Server Exposed Git Repository Information Disclosure”, globális hatása 45%.
1.↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Különböző web-szervereken tapasztalt útvonal-bejárási sebezhetőség, aminek oka egy input validációs hiba egy olyan web-szerveren, mely nem megfelelően tisztítja az URL-t az útvonal-bejárási mintázatokhoz. Sikeres visszaélés esetén a jogosulatlan távoli támadók tetszőleges file-okat tehetnek közzé vagy érhetnek el a sebezhető kiszolgálón.
2.↔ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.
3.↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
2022. május top három rosszindulatú mobil családja:
Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte a FluBot és az xHelper.
1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.
2. FluBot – Az Android alapú kártékony botnet, mely adathalász SMS üzenetekkel terjed, gyakran logisztikai brandeket megszemélyesítve. Ha a felhasználó ráklikkel az üzenetben foglalt linkre, a FluBot installálódik és hozzáfér a telefonon tárolt érzékeny információkhoz.
3. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki.
A kártékony programcsaládok 2022. májusi Top 10 listája megtalálható a Check Point Blogon.
Kapcsolódó cikkek
- Új verzióval blokkolja a kártékony fájlokat a Check Point
- Hatékony védelem mobileszközök számára
- 2022. április legveszélyesebb kártékony programjai
- Változások a legveszélyesebb kártékony programok listáján
- 2022. március legveszélyesebb kártékony programjai
- A Check Point vezető pozíciót tölt be átfogó biztonsági víziójának köszönhetően
- 2022. február legveszélyesebb kártékony programjai
- A Check Point közzétette felhő-biztonsági jelentését
- 2022. január legveszélyesebb kártékony programjai
- A Check Point Software SASE megoldása biztonságosabbá teszi a távoli és hibrid munkavégzést